Riskante Irrtümer: 5 Social-Engineering-Fehlannahmen

Social Engineering steht bei Cyberkriminellen weiterhin hoch im Kurs. Diese Fehlannahmen erhöhen das Risiko, einem Angriff zum Opfer zu fallen. [...]

Foto: bpcraddock/Pixabay

Ein aktueller Report (PDF) des Sicherheitsanbieters Proofpoint räumt mit fünf gängigen Fehlannahmen in Sachen Social Engineering auf.

„Trotz aller Bemühungen der Verteidiger versuchen Cyberkriminelle weiterhin, Unternehmen zu betrügen und Lösegeld zu erpressen – das kostet jedes Jahr Milliarden. Sicherheitsentscheider stellen bislang den Schutz von physischen und Cloud-basierten Infrastrukturen in den Vordergrund. Das hat dazu geführt, dass der Faktor Mensch inzwischen zum wichtigsten Einfallstor für Angreifer geworden ist“, kommentiert Sherrod DeGrippo, Vice President Threat Research and Detection bei Proofpoint, die Ergebnisse.

Social Engineering: 5 fatale Irrtümer

Den folgenden fünf Social-Engineering-Fehlannahmen sollten sich CISOs und ihre Teams bewusst sein, wenn sie ihr Unternehmen vor erfolgreichen Social-Engineering-Angriffen schützen möchten.

1. „Bedrohungsakteure sprechen nicht mit Zielen“

Anzunehmen, dass Angreifer weder Zeit noch Mühe investieren, um mit ihren Opfern in Kontakt zu treten und eine Beziehung aufzubauen, ist fatal. Die Proofpoint-Forscher haben im Jahr 2021 beobachtet, dass mehrere Bedrohungsakteure unproblematische E-Mails nutzen, um eine solche Konversation anzustoßen.

„Effektives Social Engineering zielt darauf ab, beim Benutzer Emotionen zu erzeugen, die ihn dazu bringen, sich auf Inhalte einzulassen. Mit harmlosen E-Mails, die ein falsches Gefühl der Sicherheit vermitteln, legen Bedrohungsakteure den Grundstein für eine Beziehung, die in der Folge leichter ausgenutzt werden kann“, schreiben die Forscher.

Proofpoint hat mehrere Business-E-Mail-Compromise (BEC)-, Malware- und APT-Kampagnen beobachtet, die nach diesem Muster vorgehen.

2. „Legitime Dienste sind vor Missbrauch sicher“

Laut Proofpoint sind Benutzer eher geneigt, mit Inhalten zu interagieren, wenn diese von einer (vermeintlich) bekannten und vertrauenswürdigen Quelle stammen. Allerdings missbrauchen Cyberkriminelle regelmäßig auch legitime Dienste – etwa Cloud-Storage-Angebote oder Content Distribution Networks, um Malware zu verbreiten und Anmeldedaten abzugreifen.

„Bedrohungsakteure ziehen es möglicherweise vor, Malware über legitime Dienste zu verbreiten, da sie damit wahrscheinlicher E-Mail-Sicherheitsvorkehrungen umgehen können. Die Abwehr von Bedrohungen, die auf legitimen Diensten gehostet werden, ist nach wie vor diffizil. Sie erfordert, unter Umständen geschäftsrelevante Services zu reglementieren oder zu blockieren“, schreiben die Proofpoint-Experten.

Die Analyse des Sicherheitsanbieters ergab auf Kampagnenebene, dass OneDrive der am häufigsten missbrauchte Service ist, gefolgt von Google Drive, Dropbox, Discord, Firebase und SendGrid.

3. „Angreifer nutzen keine Telefone“

Tendenziell werden Social-Engineering-Angriffe vor allem mit E-Mails in Verbindung gebracht. Laut Proofpoint setzen Bedrohungsakteure jedoch zunehmend auf Call-Center-basierte E-Mail-Bedrohungen, die menschliche Interaktion per Telefon beinhalten.

„Die E-Mails selbst enthalten keine bösartigen Links oder Anhänge – die Betroffenen müssen proaktiv eine gefälschte Kundendienstnummer in der E-Mail anrufen, um mit dem Bedrohungsakteur in Kontakt zu treten. Wir beobachten täglich über 250.000 dieser Bedrohungen“, heißt es im Report.

Dabei identifizieren die Experten zwei Arten dieser Callcenter-Bedrohungen Bei der einen kommt eine kostelose, legitime Remote-Assistance-Software zum Einsatz, bei der anderen wird als Dokument getarnte Malware verwendet, um Rechner zu kompromittieren.

4. „Bestehende Konversationen zu beantworten, ist sicher“

Das Gefühl von Vertrauen und Sicherheit, das bestehende E-Mail-Konversationen umgibt, wird von Betrügern laut Proofpoint durch Thread- oder Konversations-Hijacking ausgenutzt: „Normalerweise erwartet der Empfänger eine Antwort vom Absender und ist daher eher geneigt, auf den eingeschleusten Inhalt einzugehen“, so die Forscher.

Um eine bestehende Konversation erfolgreich zu kapern, müssen sich Bedrohungsakteure Zugang zum Posteingang eines Benutzers verschaffen. Das funktioniert auf verschiedene Weise – beispielsweise durch Phishing, Malware oder Passwort-Spraying-Techniken. Cyberkriminelle kapern unter Umständen auch komplette E-Mail-Server oder Postfächer und senden über Botnetze automatische Antworten. Im Jahr 2021 beobachtete der Sicherheitsanbieter demnach über 500 Kampagnen, die Thread-Hijacking nutzten und mit 16 verschiedenen Malware-Familien in Verbindung standen.

5. „Köder gibt es nur mit Business-Bezug“

Obwohl bösartige Akteure oft auf Unternehmen und ihre Mitarbeiter abzielen, ist die Annahme falsch, dass sie sich dabei rein auf geschäftsbezogene Inhalte als Köder verlassen. Vielmehr nutzen Bedrohungsakteure laut Proofpoint auch aktuelle Ereignisse, Nachrichten und Popkultur-Inhalte, um ihre maliziösen Inhalte an Mann und Frau zu bringen. Der Report führt mehrere Kampagnen aus dem letzten Jahr an, die diesen Ansatz verfolgten. Zum Beispiel:

  • Angriffe, die mit den Themenbereichen „Blumen“ und „Dessous“ speziell auf den Valentinstag abzielten,
  • der Banking-Trojaner Dridex, der mit Motiven aus der Netflix-Serie „Squid Game“ auf US-Nutzer zugeschnitten war, und
  • durchschnittlich mehr als sechs Millionen COVID-19-bezogene Bedrohungen pro Tag im Jahr 2021.(fm)

*Michael Hill schreibt für unsere US-Schwesterpublikation CSO Online.


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*